Qual è il periodo massimo di validità di AWS Private CA di cui posso usufruire quando richiedo un nuovo certificato privato?

Breve descrizione

I certificati privati richiesti nella console ACM sono validi per 13 mesi. ACM non può emettere certificati privati se il periodo di validità di AWS Private Certificate Authority risulta inferiore a 13 mesi. Se hai utilizzato la console ACM per richiedere un certificato privato e il periodo di validità della CA è inferiore a 13 mesi, la richiesta avrà esito negativo.

Per risolvere il problema, usa l'API IssueCertificate per richiedere un certificato privato con un periodo di validità più breve. Quindi, importa il certificato in ACM per poterlo utilizzare con i servizi integrati.

Risoluzione

Usa l'API IssueCertificate per emettere un nuovo certificato privato con un periodo di validità più breve

Nota: se ricevi messaggi di errore durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), consulta la sezione Troubleshoot AWS CLI errors. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Esegui il comando issue-certificate di AWS CLI per emettere un certificato privato con una data di scadenza inferiore al periodo di validità della CA:

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr fileb://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234

Nota: occorre generare la propria richiesta di firma del certificato (CSR) e la chiave privata per il certificato privato.

Richiedi il corpo e la catena del certificato privato da AWS Private CA, quindi importali in ACM

1. Esegui il comando ](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm-pca/get-certificate.html)get-certificate[ per ottenere il corpo e la catena del certificato privato:

   aws acm-pca get-certificate \--certificate-authority-arn arn:aws:acm-pca:region:account:\
   certificate-authority/12345678-1234-1234-1234-123456789012 \
   --certificate-arn arn:aws:acm-pca:region:account:\
   certificate-authority/12345678-1234-1234-1234-123456789012/\
   certificate/6707447683a9b7f4055627ffd55cebcc \
   --output text

    Esempio di output con il certificato in formato PEM con codifica base64 e la catena del certificato:

   -----BEGIN CERTIFICATE-----...base64-encoded certificate...
   -----END CERTIFICATE----
   -----BEGIN CERTIFICATE-----
   ...base64-encoded certificate...
   -----END CERTIFICATE----
   -----BEGIN CERTIFICATE-----
   ...base64-encoded certificate...
   -----END CERTIFICATE----

2. Esegui i seguenti comandi per salvare il corpo e la catena del certificato come file.pem:

   Catena del certificato:

   aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem

   Corpo del certificato:

   aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem
   

3. Per utilizzare il certificato privato con servizi integrati, esegui il comando import-certificate di AWS CLI per importare il certificato:
   Nota: sostituisci certfile.pem, privately.key e certchain.pem con i nomi dei tuoi file.

   aws acm import-certificate --certificate fileb://certfile.pem --private-key fileb://privatekey.key --certificate-chain fileb://certchain.pem